Autor: Peter Diaz Rosales Revisor: Peter Diaz Rosales
Versión: 1.0 Fecha: 04-12-2010 Fecha de Revisión: 08-12-2010
1. Políticas de Acceso Físico.
1.1. El espacio físico donde se alojara el CDP debe de cumplir una distancia prudencial de los entornos externos (medio ambiente) que puedan afectar la operatividad del mismo. Tener en cuenta las distancias a salvar con respecto a los factores externos como lo son: carreteras, aceras, autopistas, tomas de aguas principales, fuentes de energía eléctricas, estudio topográfico del terreno para evaluación de los terrenos donde se construirá el CPD. En este sentido se establece como política que el CPD debe de tener como mínimo 7 capas (barreras) de protección contando a partir de la entrada principal de acceso al CPD.
1.2. El acceso al CPD debe de estar monitoreado (video-vigilancia) constantemente con un funcionamiento de 24 horas X 365 días al año continuos, dichas grabaciones deben de ser almacenadas en formato comprimido y no debe de exceder su compresión de 10 MB diarios, por cada uno de los sitios a ser monitoreado. El resguardo de esta información debe de realizarse en sistemas magnéticos (redundantes), con un doble backup en cintas que luego será enviado a un centro alterno de resguardo que por ningún motivo debe de ser la misma ubicación o entorno físico donde se encuentra alojado el CPD.
1.3. Por ningún motivo se permitirá el acceso físico del personal, proveedores, clientes u otros al CPD, con la excepción de que por motivos de fallos de hardware o software que comprometan la integridad de los datos o la continuidad de las operaciones y previa justificación oral, escrita y cumpliendo con las normativas operativas se justifique su ingreso.
1.4. Los controles de cambio de hardware y software deben de ser analizados por el comité principal de cambios (change managment) y si algunos de estos compromete la seguridad lógica o física de los equipos y componentes alojados en el CPD, se le pedirá la consulta al responsable de seguridad de la organización que este desempeñando el cargo en su momento de manera indefinida o temporal, si en su caso no se cuenta con un responsable de seguridad en el momento de realizar los cambios se procederá a pedir consulta al responsable del departamento que por la magnitud del cambio se vea afectado.
1.5. Los entornos físicos que rodean al CPD deben de cumplir con las normas mínimas de seguridad eléctrica, hidráulica y antisísmica.
1.6. Se debe de contar con un sistema de alertas de emergencias con contacto directo con los organismos oficiales como lo son: bomberos, estaciones de policías, departamento de defensa civil, alguaciles y con la empresa de seguridad privada responsable de la custodia del CPD.
1.7. Los accesos al CPD deben de ser controlados por el responsable de seguridad y deben de contar con por lo menos 4 sistemas de autenticación, a saber: un sistema de contraseña fuerte, un sistema biométrico, un sistema de RSA por token y un sistema de tarjeta electro magnética de acercamiento con clave cifrada. Adicionalmente a estos sistemas se debe de tener un libro de visitas y acceso al CPD que deberá firmar las personas o responsable de seguridad que en su momento por algún motivo extraordinario requiera el acceso al CPD. (leer política 1.4)
2. Políticas de Acceso lógico:
2.1. Las contraseñas, token RSA y/o cualquier otro medio que se utilice para el acceso al CPD debe de ser cifrado a 128 bits utilizando certificados de confianza de alguna entidad certificadora interna, cuya administración debe de estar bajo responsabilidad de la organización y no se prohibirá totalmente la administración por terceros (particulares y/o empresas) o personas ajenas a la organización.
2.2. Se debe de llevar un log auditable de los accesos a cada uno de los servidores y sistemas que componen el CPD. Estos logs tendrán una duración de guardado lógico de por lo menos 90 días.
2.3. La información almacenada en los servidores de aplicaciones debe de ser encriptado con un algoritmo de seguridad que garantice la integridad de los datos, las claves maestras de descifrado de los datos debe de custodiarse en un centro alterno al principal tomando en cuenta todas las medidas de protección contra la violación o hurto de las mismas.
2.4. La data de los sistemas debe de viajar encriptado entre las redes, subredes, localidades y sedes remotas que interconectan con el CPD principal y cuyo servicio dependa de este.
2.5. Sera bloqueado todo acceso lógico al CPD con un valor de intentos fallidos de 5 (cinco), el desbloqueo del acceso debe de ser analizado y luego desbloqueado por el responsable de seguridad.
2.6. Se debe de llevar una auditoria de los accesos satisfactorios y los accesos fallidos de todos las interconexiones lógicas desde y hacia los sistemas
2.7. Se debe de contar con un sistema de alerta y monitoreo automatizado que permita la previsión de ataques y accesos no deseados a los servidores y centros de base de datos del CPD, alertando por cualquier medio móvil o de telecomunicaciones a los responsables de seguridad y los administradores de cada sistema, aplicaciones y bases de datos respectivamente.
2.8. La data, información escrita (manuales), bases de datos, sistemas, aplicaciones y/o cualquier medio digital y/o escrito clasificado como importante para el funcionamiento del CPD será titulado como CONFIDENCIAL (marca de agua) y se tomaran acciones legales contra las persona, empresa y empleado que viole esta política.
No hay comentarios:
Publicar un comentario